#29: Von der Google Earth-Recherche bis in den Server-Raum

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the Right Rabbit, dem Link11 IT Security Podcast. Ich bin Lisa Fröhlich, Unternehmenssprecherin bei Link11 und darf euch auch heute wieder in die Tiefen des Kaninchenbaus Cybersicherheit begleiten. Schön, dass ihr wieder alle mit dabei seid. Es wartet heute ein wirklich spannendes Thema auf euch, Red Teaming. Was genau das ist und wie es sich von klassischen Penetrationstests oder Whitehead Hacking unterscheidet und welche Aufgaben es mit sich bringt, kläre ich mit meiner heutigen Gästin Sarah Marder. Sarah habe ich auf der Cyber Women im September 2024 kennengelernt und erlebt. Sie hat ein Beispiel in einem Vortrag aus ihrem Berufsalltag geschildert und ich habe total fasziniert zugehört und dachte, das ist schon eher so ein Mission Impossible Job und war total fasziniert, was das Red Teaming so alles mit sich bringt und ja. Doch bevor wir jetzt mehr über Saras unmögliche Missionen erfahren, darf sie sich euch erstmal vorstellen. Liebe Sarah, schön, dass du da bist. Es freut mich, dass du dir Zeit nimmst. Stell dich doch bitte kurz unseren Hörerinnen und Hörern vor.

Sarah Mader: Sarah Mader Ja, mein Name ist Sarah Marder. Ich bin jetzt schon seit einigen Jahren in der IT-Sicherheit am Arbeiten. Seit einigen Jahren auch in der Offensive Security. Da habe ich erst im Penetration Testing angefangen und bin seit jetzt doch längerer Zeit schon im Red Team angesiedelt, arbeite aktuell bei NVISO Security.

Lisa Fröhlich: Lisa Fröhlich Jetzt hast du ja schon das Red Teaming angesprochen und hast gesagt, dass du vorher im Bereich Penetrationstest warst. Das heißt, zwischen diesen beiden Dingen gibt es einen Unterschied. Kannst du denn einfach erklären, was genau ist denn Red Teaming, welches Ziel wird damit verfolgt und worin unterscheidet sich das zu einem gegebenenfalls normalen Penetrationstest?

Sarah Mader: Sarah Mader Ja, gerne. Also denke der größte Unterschied zwischen einem Red Team und einem Penetrationstest ist, dass man einmal einen sehr unterschiedlichen Scope hat und auch das Ziel, man quasi mit dem Test erreichen möchte. Da ist zum einen beim Red Team sehr wichtig, dass man so eine gesamte Sichtweise hat auf die Infrastruktur und auch auf die Prozesse im Unternehmen. Das heißt, man testet nicht nur technische, nicht nur auf technische Schwachstellen und Fähigkeiten, wie jetzt beispielsweise eine Penetrationstest, sondern guckt auch, wie viel sieht denn das Bluteam, wenn so ein Angriff durchgeführt wird und wie sind denn die Reaktionen von Menschen und generell wie werden Prozesse eingehalten. Man versucht quasi in einem Red Team einen echten Angriff zu simulieren. In einem Penetrations-Test ist man einfach sehr eingeschränkt und möchte einfach ein spezifisches System auf Schwachstellen überprüfen. Genau, das sind so die wesentlichsten Unterschiede.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Also das heißt, im Grunde ist so ein Red Team dafür da, eine IT-Sicherheitsstrategie oder eine IT-Sicherheits, ja, das IT-Sicherheits-Bollwerk eines Unternehmens auf Herz und Nieren zu prüfen in seiner Gesamtheit. Also wie du schon gesagt hast, es geht nicht darum, beispielsweise die Firewall zu testen, zu schauen, welche Schwachstellen hat meine Firewall oder welche Schwachstellen hat beispielsweise mein DDoS-Schutz. Das bedeutet, dass das Red Team immer sich auch, und das hast du so schön gesagt, die Menschen anguckt. Wie sieht denn dann dein Alltag im Red Team aus, wenn sozusagen so viele verschiedene Aufgaben anfallen? Und welche konkreten Aufgaben gehören denn dazu? Oder gibt es ... vielleicht ein paar typische Szenarien, die du durchspielst oder die ihr im Team durchspielt, die du uns mal schildern könntest.

Sarah Mader: Sarah Mader Generell ist so ein Assessment, so ein Red Team meistens aufgeteilt in drei Phasen. ist einmal Initial Access, der initiale Zugriff, wie komme ich überhaupt in die Infrastruktur, ins Netzwerk. Dann geht es weiter mit der Ausbreitung im Netzwerk, einmal suchen und finden von Zielen und final dann eben Aktionen, die belegen, dass man quasi die zu vordefinierten Objectives, also die Ziele auch erreichen kann. Solche Objectives sind meist oder sind wichtige Komponenten von so einer Firma. Also entweder wichtige Ressourcen, Systeme, die für die Fortschrung des Unternehmens einfach essentiell sind oder die einen besonders hohen Schutzbedarf haben. Die definiert man im Vordergrund mit dem Kunden und versucht dann eben innerhalb dieser Phasen sie zu erreichen. Am Anfang ist eben Initial Access, da sind meistens mehrere Szenarien oder gibt es unterschiedliche Szenarien, die da definiert sind. Das sind dann Szenarien wie zum Beispiel Phishing oder eben Physical Access, in dem Cyberwoman Talk. Kann aber auch ganz einfach sein, dass man sagt, definiert, man sagt einfach, man geht von einem Assumed Breach aus, also dass einfach Zugriff stattgefunden hat, also Hacker hat es einfach irgendwie ins Netzwerk geschafft und dann bekommt man entsprechend die Möglichkeit direkt im Netzwerk anzufangen, eben einfach zu sehen, wie weit würde derjenige denn an der Stelle kommen und was könnte man dort erreichen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Okay.

Lisa Fröhlich: Lisa Fröhlich Jetzt ist es ja so, dass ich mich da jetzt auch schon mit mehreren Leuten unterhalten habe auf verschiedenen Veranstaltungen, die in dem Bereich auch so ein bisschen Awareness-Trainings unterwegs sind und auch immer so ein bisschen auch darauf aufmerksam machen, wie leicht es beispielsweise ist, Unternehmen reinzukommen. Und das ist ja im Grunde auch Teil deines Jobs. Du hast die Physical Assessments angesprochen und hat es ja auch in dem Cyber Women Talk genauso ein Beispiel dargestellt. Ich hatte jetzt einen Fall, da kam jemand auf eine Veranstaltung und hatte quasi Lieferando-Klamotten an und hatte zwei Lieferando-Pizza-Taschen dabei und hat gesagt, na ja, ich habe mir das Zeug im Internet bestellt und komme so getarnt als Lieferando-Bote eigentlich relativ leicht in Unternehmen rein. Kannst du nochmal auf das konkrete Beispiel von der Cyberwoman eingehen, was genau war denn da sozusagen euer Ziel, was genau war die Aufgabe und habt ihr es tatsächlich geschafft, die Aufgabe erfolgreich abzuschließen?

Sarah Mader: Sarah Mader Wenn wir jetzt nochmal auf dieses spezifische Beispiel anwenden wollen, da war ja quasi ein Red Team mit Fokus auf Operational Technology. Das heißt, haben uns da als Objective quasi dann definiert, dass wir eben irgendwie an das Kontrollnetzwerk des Unternehmens kommen möchten. an die Netzwerksegmente, wo man eben tatsächlich Zugriff auf physische Kontrollelemente hat. Und als initialer Angriffsvektor wurde eben ein physisches Assessment angefordert. physisches Assessment ist meistens nicht so lang, es ist so roundabout, also ungefähr eine Woche lang. Das heißt, es ist eine relativ intensive Veranstaltung. Man tut im besten Fall vornherein einfach schon ein bisschen Open Source Intelligence nutzen, einfach herauszufinden, wie sieht es denn vorwärts aus, welche Sicherheitsvorkehrungen wurden da installiert, Kameras, irgendwelche Sensoren an Zäunen beispielsweise und gibt es irgendwelche Indikatoren, welche Zulieferer da zum Beispiel eingesetzt werden, wer betritt denn normalerweise das Gelände, wer darf das betreten, genau welche Firmen sind da involviert. Damit geht man da eben vor Ort, schaut sich das dann nochmal vor Ort an, was meistens nochmal so bisschen anders aussieht als als man das vielleicht online irgendwie ermittelt hat. Und überlegt sich eben, welchem Wege man quasi in das Unternehmen kommen kann. Also wie man auf das Gelände kommen kann und dort eben auch seine Ziele erreichen kann. In dem Beispiel haben wir uns aufgrund von relativ starken physischen Sicherheitsvorkehrungen dafür entschieden, dass wir es mit Social Engineering probieren.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader Genau, haben dann uns quasi als Putzdienst getarnt, den Eingang, an die Pforte gestellt, geklingelt, angemerkt, dass wir doch verputzen sind, dass wir gerne reinwollen würden, wurden tatsächlich auch reingelassen und konnten so erst mal die erste Hürde, also den Zaun überwinden. Dann gibt es natürlich noch weitere Einschränkungen vor Ort. Das heißt, ist jetzt noch nicht damit getan, dass, sobald man auf dem Gelände ist, dass man sämtliche Räume erreichen kann. Im besten Fall sind ja kritische Räume wie Serverräume oder eben

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader der Control Room einfach abgesperrt, genau durch irgendwelche ID-basierten Zugangssysteme. Das war auch in unserem Fall der Fall. nachdem wir zwar Zugang zu relativ vielen Büros und Räumlichkeiten hatten, wir zwar nachher trotzdem keine Möglichkeit gefunden, diese letzte Hürde zu umgehen.

Lisa Fröhlich: Lisa Fröhlich Abgeschottet.

Lisa Fröhlich: Lisa Fröhlich Ja.

Sarah Mader: Sarah Mader und haben dann weiter einfach Social Engineering angewandt und gesagt, ja, okay, dann fragen wir jetzt einfach den Mitarbeiter, ob er uns die Tür öffnen kann, damit wir dort drin putzen können. Es hat tatsächlich funktioniert, das heißt, das physische Assessment war dann erfolgreich. Das war dann quasi die erste Phase von dem Projekt. Genau. In der weiteren Phase geht es dann darum, okay, wir haben quasi nachgewiesen, wir könnten als Angreifer theoretisch reinkommen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Sarah Mader: Sarah Mader Und wie geht es dann weiter? In dem Fall haben wir dann ein Netzwerk Implantat installiert. Also es ist gerne mal einfach ein Raspberry Pi, der quasi in der Lage ist, nach Hause zu funken und uns quasi die Möglichkeit gibt, per Remote eben auf dieses Netzwerk zuzugreifen. Das ist alles in einem sicheren Setup, dass da sonst keiner rankommen kann. Natürlich ist es natürlich extrem wichtig. Und dann geht es eben mit der Aufklärung, also der Reconnaissance-Phase los. Das ist meistens die längste Phase im Projekt, weil man natürlich erstmal lernen muss, die Infrastruktur aussieht, was sind da für Systeme installiert, welche Protokolle werden benutzt, wer kommuniziert damit wem. In genärischen oder in einem, ich sag mal, in normalen IT-Red Team hat man natürlich extrem viele Knowledge Bases, SharePoint, irgendwelche Shares, auf die man vielleicht zugreifen kann, ohne Berechtigung oder mit vielleicht Berechnungen, die man schon gefunden hat und versucht dann eben zu verstehen, einmal wie das Netzwerk und die Infrastruktur, wie das alles funktioniert, was wo angebracht ist und wo finde ich denn meine Zielsysteme. In unserem Beispielszenario jetzt haben wir vor allem, nachdem wir da ja schon relativ nah an dem Kontrollnetzwerk waren, erstmal sehr passiv gelauscht und versucht zu lernen, wer kommuniziert da mit was.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader und welche Protokolle werden benutzt. Dann kann man eben auch schon anhand von MAC-Adressen zum Beispiel erkennen, was die Hersteller da im Einsatz sind und abhängig davon schon tatsächlich relativ viel ableiten, welche Systeme da verwendet werden oder welche IP-Adresse zu welchem System zum Beispiel gehört. Wir haben dann erkannt, okay, da gibt es jetzt

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Sarah Mader: Sarah Mader Es gibt einen Share, mit dem relativ häufig kommuniziert wird, bzw. der sich relativ häufig im Netzwerk bemerkbar macht. Das ist natürlich interessant, auf den konnten wir tatsächlich auch ohne Zugangsdaten zugreifen und haben da recht interessante Informationen gefunden, die uns dann geholfen haben, letztendlich per LDP auf weitere Systeme zuzugreifen.

Lisa Fröhlich: Lisa Fröhlich Das heißt, ihr bewegt euch quasi im Red Team entlang der sogenannten Cyber Kill Chain, aber ihr spielt jetzt nicht das komplette Angriffsszenario durch, oder geht ihr tatsächlich die einzelnen Schritte der Cyber Kill Chain durch?

Sarah Mader: Sarah Mader Also schon die gesamte Kette, da gibt es ja unterschiedliche Techniken, die da tatsächlich benutzt werden können. Alle werden natürlich nicht eingesetzt. Manchmal werden bestimmte Techniken angefragt tatsächlich auch vom Kunden. Das kann dann im vorher definierten Rahmen tatsächlich auch ausgemacht worden sein. Genau.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, spannend auf jeden Fall. Also du, was mich ja in deinem Vortrag und jetzt auch so fasziniert hat, ist einfach so diese Tatsache, dass du mit Social Engineering ja ziemlich weit kommst. Und, ja, ich glaube, das hat einfach auch was damit zu tun, dass der Mensch vielleicht ja auch so ein Herdentier ist und wenn ich einem anderen Menschen irgendwie auf den Gang begegne, der offensichtlich für mich auf den ersten Blick zur vermeintlichen Putzkolonne gehört und der mich nett anlächelt und mich freundlich fragt, dann habe ich ja zumindest aus dem Bauch raus, wenn das vielleicht auch ein vermeintlich übliches Szenario ist, also dass vielleicht auch häufiger da einfach die Putzleute unterwegs sind oder einfach relativ offen damit umgegangen wird, dann kann ich ja sozusagen als vermeintliches Opfer schon auch… Ich wittere ja nicht bei jedem Menschen per se, dass er mir was Böses will. Und wie gesagt, wenn ein Mensch auf mich zukommt, mich anlächelt und mich freundlich was fragt, dann gehe ich ja schon mal so davon aus, außer ich bin sehr paranoid, dass das eigentlich kein Grund zur Sorge ist. Begegnet euch sowas häufiger? Also, dass das jetzt in dem Fall mit Social Engineering so gut funktioniert? Oder hattet ihr auch schon Fälle wo sozusagen eure besten Social-Engineering-Ideen auch nach hinten losgegangen sind oder ihr keinen Erfolg hattet, wenn es solche Assessments ging?

Sarah Mader: Sarah Mader Es sind unterschiedliche Aspekte, bei diesem OHS zu tragen kommen. Generell sind Menschen in den meisten Fällen hilfsbereit. Man will auch eigentlich keinen Ärger produzieren, d.h. man möchte eigentlich auch nicht in so eine Konfliktsituation reinkommen, d.h. jemanden etwas verwehren, sagen, du darfst jetzt nicht rein, bitte gehen Sie, ich Ihren Ausweis nicht, obwohl das vielleicht richtig wäre. Es ist wichtig, im Kopf zu behalten, dass es halt... meistens definierte Prozesse gibt oder Verfahren, wie man mit umgehen soll. Also in diesem Beispiel war es halt so, dass eigentlich jeder, der auf dieses Gelände gekommen ist, auch eine ID-Karte hatte, die ihm einfach den Zugriff auf alle Räumlichkeiten ermöglicht hat, zu dem der oder diejenige einfach Zugriff haben sollte. Und dementsprechend ist die Frage, ob einem jemand etwas aufsperren kann, per se einfach schon mal falsch, weil wenn ich mir selber das nicht öffnen kann, ist schon etwas, wo man

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Sarah Mader: Sarah Mader wo Alarmsignale, sage ich mal, aufkommen. Genau. Genau, da stimmt vielleicht was nicht. Gut, vielleicht hat man die Karte mal vergessen, aber da muss man zumindest einmal nachfragen, wo denn die Gründe sind und das ein bisschen vielleicht in Frage stellen. Beziehungsweise dann nochmal bei anderen Stellen nachfragen, ob das jetzt wirklich der oder diejenige ist, die da in diese Räumlichkeiten darf. Das ist eben ganz wichtig. Generell

Lisa Fröhlich: Lisa Fröhlich Ein Hinweis auf, stimmt was nicht.

Sarah Mader: Sarah Mader Das es schon, habe ich schon auch erlebt, dass es durchaus Leute gibt, die genau das tun, die eben sagen, es tut mir zwar leid, die bleiben dann auch freundlich, man muss ja nicht unfreundlich werden, die bleiben auch freundlich, die sagen aber relativ strikt, es tut mir leid, das ist leider definiert, das ist sicherheitsgründend, das versteht man ja sicherlich und dementsprechend kann ich euch leider hier nicht reinlassen. Das passiert durchaus.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Bereich.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader In solchen Fällen, wenn wir das jetzt machen in den Tests, versucht man natürlich, Undercover zu bleiben. Das heißt, dann ist man auch freundlich, geht da und sagt, das kann man natürlich nachvollziehen und versucht eben nicht so dieses Last Resort, das man da hat. Man hat da immer noch so ein „Get out of Jail Letter“ dabei, der quasi die Erlaubnis ist von einer entsprechend autorisierten Stelle im Unternehmen, wo quasi bestätigt ist, dass man eben versuchen darf einzubrechen. Das letzte Mittel, wenn jetzt jemand tatsächlich auffliegen würde, damit dann niemand die Polizei rufen muss, dass man sagen kann, okay, wir dürfen das, ruft doch bitte bei dem oder derjenigen an und die können das dann bestätigen. Genau, also.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm, mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ist auf jeden Fall spannend. Also würde ich jetzt mal aus dem, was du gerade geschildert hast, schließen. Das ist eigentlich auch eine schöne Überleitung zu meiner nächsten Frage, welche Fähigkeiten man mitbringen muss, erfolgreich in einem Red Team arbeiten zu können und welche Soft Skills da besonders wichtig sind. Auf jeden Fall würde ich jetzt mal aus dem Bauch raus sagen, man braucht eine gute Menschenkenntnis, eben einzuschätzen. Und man braucht vielleicht auch eine Spontanität, auf gewisse Situationen entsprechend zu reagieren. Kreativität ist sicherlich auch ein Thema. Was gibt es denn noch für Soft Skills oder was gibt es denn noch für Fähigkeiten, die jemand mitbringen muss, der sagt, hey, Red Teaming finde ich spannend, ich bin schon länger in der IT-Sicherheit unterwegs und würde gerne mal was Neues ausprobieren. Vielleicht ist das ja was, weil...und das hat es dir auch geschildert, es sind ja nicht nur diese physischen Assessments, wo man irgendwo eine OT-Technik oder eben an bestimmte Kontrollsysteme von Anlagen etc. pp. rankommen kann, sondern es ist ja auch noch viel, sage ich mal, im technischen Bereich, den ihr testet und einfach die Systeme oder Prozesse, die ihr auf den Prüfstand stellt. Wie gesagt, welche Fähigkeiten muss man mitbringen deiner Meinung nach?

Sarah Mader: Sarah Mader Also auf jeden Fall, ja, Kreativität ist natürlich super wichtig. Ich glaube, diverse Probleme, Lösungskompetenz ist auch einfach relevant, weil einfach immer wieder in diesem während des Assessments, während des Tests einfach Probleme auftreten, Dinge funktionieren nicht wie erwartet. Man wird angesprochen von Personen, die man nicht erwartet hat. Das ist jetzt sehr spezifisch auf dieses physische Assessment, aber gerade auch viel Technisches. Es gibt halt

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader extrem viel Tools, gibt extrem viele potentielle Schwachstellen, die man eben erkennen muss. Aber das ist nicht alles so ein Playbook, das man einfach immer abspielen kann, sondern da passiert gerne auch mal was, was unerwartet ist. Da muss man eben schauen, wie geht man damit Wie löst man das Problem? Was steckt dahinter? Ja, muss dann eben auch geduldig sein und nicht zu schnell aufgeben, weil es halt doch ein längerer Prozess ist und zeitweise dauert das.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Sarah Mader: Sarah Mader bis zum Ende des Assessments, bis man dann tatsächlich doch noch seine Ziele erreicht. Aber dafür darf man sich natürlich nicht zu schnell abschrecken lassen. Technisches Wissen ist natürlich super relevant. Man hat mit extrem vielen verschiedenen Systemen und Technologien zu tun. Je mehr man dafür kennt, desto besser. Das verändert sich ja auch laufend in der IT. Das heißt, kommen neue Technologien laufend dazu.

Lisa Fröhlich: Lisa Fröhlich Mmh. Mmh. Ja.

Sarah Mader: Sarah Mader Das heißt, man muss auch dauerhaft dranbleiben. Man muss schon auch den Willen haben, dauerhaft zu lernen, damit man eben am Ball bleibt und eben mit den neuesten Technologien, neuesten Schwachstellen vertraut ist und die dann auch einsetzen kann und parat hat. Und abseits davon ist es ja nicht nur technisch, sondern es ist ja auch viel Organisatorisches, was da anfällt.

Lisa Fröhlich: Lisa Fröhlich Mmh, mhm.

Sarah Mader: Sarah Mader Das heißt, man hat viel Kommunikation mit dem Kunden, das ist auch extrem wichtig, weil man ja im Zweifelsfall mit kritischen Komponenten interagiert. Das ist alles Produktivsystem. Das nicht wie bei einem Penetration-Test, wo man einfach mal der Testumgebung testen darf und wenn die dann kaputt ist, dann ist das halt so. das heißt, es extrem wichtig, dem Kunden da eng zu kommunizieren. Was kann man machen, was kann man nicht machen? Aber auch natürlich

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja. Das echte Leben sozusagen.

Sarah Mader: Sarah Mader Team. Dass man eben als Team zusammen ist, ist ein Red Team. Das heißt, man arbeitet meistens mit mehreren Leuten an so einem Projekt. Dass man eben Informationen aufsagt, dass man Arbeit nicht doppelt macht, das ist, glaube ich.

Lisa Fröhlich: Lisa Fröhlich Das klingt auf jeden Fall sehr, sehr vielfältig und sehr, spannend, weil ich glaube, es ist natürlich auch so ein bisschen dieses Thema, wie kann ich hartnäckig dranbleiben, rechtzeitig um die Ecke denken, wie du gesagt hast. Ich werde immer wieder vor neue Herausforderungen gestellt, die ich auch quasi mit einer gewissen Persistenz, mit einer gewissen Konsistenz einfach vielleicht auch nach stoischen Ruhe durchziehen muss. Und gerade so dieses Thema, was du am Ende gesagt hast, wir sind eigentlich ein Team und wir arbeiten zusammen. Also es kann ja auch nicht jeder quasi, ja, es gibt vielleicht auch den einzelnen sozusagen White-Hat-Hacker, der das macht und vielleicht irgendwo eine sogenannte Schwachstelle entdeckt und dann eben über ein Bug-Bounty-Programm sozusagen da sein Geld verdient, aber im Großen und Ganzen geht es ja beim Red Teaming ja vor allen Dingen darum, und das haben wir am Anfang gesagt, diese ganze IT-Strategie oder die ganze IT-Sicherheitsstrategie mal auf den Prüfstand zu stellen. Und zu gucken, wo sind gegebenenfalls vielleicht auch Prozess an, die ich vielleicht gar nicht gedacht habe, dass es potentielle Schwachstellen sein können, weil ihr eben nicht nur sozusagen die technische Ebene im Blick habt, sondern eben auch eine menschliche Komponente mit einfließen lasst und eben auch guckt, was will denn mein Auftraggeber, was will denn eigentlich das Unternehmen, was soll denn am Ende des Tages getestet werden. Das heißt, Red Teaming, und das hast du ganz schön erklärt, beinhaltet ja die sozusagen auch simulierte Angriffe. Also, habt dann am Ende des Tages, egal ob das jetzt ein physisches Assessment ist oder eben ein technisches Assessment, ihr habt am Ende des Tages einen Auftrag von eurem Kunden, der das sozusagen, der eure Arbeit und euer Vorgehen legitimiert. Wie ist es denn sozusagen mit Herausforderungen, wenn es so Themen, ethische Themen beispielsweise geht oder Compliance-Themen? Und gibt es eigentlich Grenzen? Und wenn ja, wo sind die möglicherweise oder ist das immer eine sehr, sehr individuell mit dem Kunden abgestimmte, abgestimmte abgestimmtes Terrain, sag ich mal.

Sarah Mader: Sarah Mader Es gibt natürlich die Sachen, mit dem Kunden abgestimmt sind, da ist auch ganz viel Compliance natürlich wichtig. Aber abseits davon haben wir natürlich auch unseren eigenen moralischen Kompass. Und es ist ganz klar, dass es diverse Dinge gibt, die einfach ein No-Go sind. Beispielsweise bei Fishing auf, im schlimmsten Fall, Erpressung oder Bestechung oder irgendwas dergleichen in Zahlen zurückzugreifen, ist natürlich absolut nicht akzeptabel und auch nichts, was wir machen. Auch generell versuchen wir natürlich, wenn wir jetzt zum Beispiel eine Fishing-Kampagne zu machen, irgendwie, ja, keine lebensrelevanten Dinge zu verwenden, sondern schon irgendwie in einem Rahmen zu bleiben, okay,

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm, mhm.

Sarah Mader: Sarah Mader Hier gibt es vielleicht ein Gewinnspiel oder da ist jetzt irgendwie die Anmeldung für irgendeine Firmenfeier. Also schon in dem moralisch korrekten Rahmen auch zu bleiben, weil es durchaus wichtig ist. Ein weiteres großes Thema ist dann natürlich auch, wir sind ja da auf produktiven Systemen unterwegs. Das heißt, wir sind auch Rechnern unterwegs, die tatsächlich für Menschen benutzt werden. Die dürfen nicht zwangsmäßig immer auch für den privaten Zweck benutzt werden.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader werden manchmal trotzdem dafür verwendet und dann ist natürlich ganz wichtig, dass man da einfach irgendwelchen privaten Daten herumstöbert. ja, genau, ohne dass es jeglichen Grund hat. Also das ist so oder so nur nach Absprache möglich und wird auch generell nur gemacht, wenn es überhaupt notwendig ist. Also es gibt in den meisten Fällen wenig Gründe, persönlichen E-Mails oder ja alle E-Mails zu durchwühlen. Das kann in Einzelfällen natürlich interessant sein, da Passwörter verschickt werden oder so vergleichen, aber da muss man natürlich immer abwägen und das auch entsprechend abklären, ob das jetzt, ja, okay ist. Genau.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Teil der Aufgabe ist. Ja, es kommt ja auch immer drauf an. Also wie gesagt, deswegen sage ich ja, das hat mich so fasziniert an deinen Schilderungen, dass es ja auch schon so bisschen Mission Impossible like ist. Also ich habe mir das dann so vorgestellt, naja, man braucht ja auch schon vielleicht auch so eine gewisse kriminelle Ader oder zumindest ein gewisses kriminelles Talent oder wie auch immer man das nennen will, weil ich muss ja vor allem auch auf gegebenenfalls total abwegige Ideen kommen. Also am Ende des Tages ist ja entscheidend, auch wenn es darum geht, quasi Cyberangriffe zu simulieren oder überhaupt Angriffe auf kritische Infrastrukturen oder du hast jetzt die Operational Technology genannt, auf irgendwelche Anlagen oder Kontrollsysteme etc. pp. Dann muss ich mir ja vorstellen, wie komme ich da hin? B, warum will ich da hin? Und das ist ja oft so das, was in Filmen irgendwie so, ja, dann sitzen die da irgendeinen Tisch rum, haben dann ein Modell von irgendeiner Anlage oder mittlerweile sind es natürlich computer-simulierte Modelle und so weiter und so fort, dann werden irgendwelche wahnwitzigen Masken ausgedruckt und so weiter und so fort. Ich meine, das sind natürlich alles die Sciencefiction-Techniken, die ihr vermutlich nur im Entferntesten anwenden könnt. Aber ich finde das halt spannend, dass es trotz allem auch bestimmte Grenzen gibt, dass ihr einfach sagt, ja, wenn wir Phishing-Kampagnen machen, sind es eben keine, die irgendwie so einen erpresserischen Charakter haben, weil das ja auch am Ende des Tages, zumindest in meiner Wahrnehmung, dem ein oder anderen ja viel eher auch auffallen würde, dass es hier nicht mit rechten Dingen zugehen kann und dass sozusagen eine Phishing-Kampagne, so ganz schnell viel Druck auch vielleicht auf den Mitarbeiter ausgewirkt wird, die wird ja vielleicht am Ende des Tages auch ganz anders wahrgenommen und vielleicht doch der IT gemeldet, so nach dem Motto, hey, ich habe hier eine E-Mail in meinem Postfach, da vergreift sich jemand im Ton. Also es ist ja so ein schmaler Grad zwischen, wie kann ich jemanden bewegen, etwas zu tun, was er eigentlich nicht tun dürfte, sollte und auf der anderen Seite aber auch so dieses Rauskitzeln vielleicht dessen so… Wie kriege ich denn jetzt den Menschen so gecached, dass er tatsächlich auf den Link klickt und damit sozusagen mein Initial Access Prozess ins Rollen kommt und ich mich quasi, wie er sagt, in den produktiven Systemen dann auch entsprechend ausweiten und mich umgucken kann. Dass natürlich auch euch in erster Linie nicht darum geht, irgendwelche privaten Daten auf Firmenrechner zu kontrollieren, das sollte eigentlich ja jedem klar sein. Ich finde, dass es ist ein wahnsinnig spannendes Feld und es ist sehr vielfältig, weil auch in der Kürze der Zeit, die wir jetzt schon darüber gesprochen haben, du ja schon ganz viele verschiedene Facetten aufgemacht hast, an denen im Grunde auch ganz unterschiedliche Fähigkeiten zum Einsatz kommen müssen und können. Zum Abschluss der Folge würde ich gerne noch von dir wissen. Wie glaubst du, wird sich dieses Feld weiterentwickeln in den kommenden Jahren? ist so deine, gibt es viele neue Technologien, Stichwort künstliche Intelligenz, die deine Arbeit in Zukunft stärker beeinflussen werden oder ist das immer unterschiedlich, je nachdem, ob wir uns im technischen Assessment oder im physischen Assessment bewegen? Wie meinst du, geht es im Bereich Red Teaming in Zukunft weiter?

Sarah Mader: Sarah Mader Das er ja schon angesprochen. klar, Machine Learning, künstliche Intelligenz ist natürlich ein großes Thema, auch im Red Team natürlich. Wie immer ein zweischneidiges Schwert. Die Techniken können natürlich sowohl vom Angreifer als auch vom Verteidiger eingesetzt werden. Da sehen wir schon einige Entwicklungen, also gerade wenn es jetzt Phishing-Bereich, Social-Engineering-Bereich, extrem viele Deepfakes oder Fake-Videos, Fake-Stimmen-Erzeugungen oder Sprachgenerierungen, die da natürlich vieles ermöglicht und vieles noch vertrauter macht. Aber auch natürlich auf der defensiven Seite ist natürlich so, dass durch so Mustererkennung die defensiven Lösungen natürlich auch stärker werden, das heißt auch so

Lisa Fröhlich: Lisa Fröhlich Mmh, mmh.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Sarah Mader: Sarah Mader mit Phishing zum Beispiel, da unregelmäßige Muster zu erkennen, verbessert natürlich auch die Sicherheit und erschwert dann natürlich auch unseren Job in dem Sinne, aber natürlich guterweise auch die Möglichkeiten für Angriffe selbst. Ich denke, ein anderes großes Thema sind natürlich Regulierungen, wie z.B. Dora und NIS-2. Es wird ja relevanter und da sehen wir natürlich schon

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah Mader: Sarah Mader Bedarf eben auch am Red Team oder sogenannten S-Redler Penetration Tests, die da auf uns zukommen.

Lisa Fröhlich: Lisa Fröhlich Ja, einfach weil die Unternehmen entsprechend ihre IT-Sicherheit ja auch testen müssen und auf ein gewissen, also es ist ja immer die Rede von sozusagen einem Sicherheitsniveau „State of the art“ und das eben sozusagen rauszufinden, ist denn mein, sozusagen mein Sicherheitsniveau oder habe ich eine IT-Sicherheitsstrategie im Einsatz, die auf dem aktuellen Stand der Technik basiert und entsprechend sicher ist und je weniger Lücken zu erkennen sind, desto besser. Und ich glaube tatsächlich, dass die Unternehmen aus sich selbst raus gar nicht die Möglichkeiten haben, das alles zu testen, weil ja, am Ende des Tages der Angreifer nur ein kleines Nadelöhr braucht, durch das er schlupfen kann. Und bei euch geht es ja genau darum, dieses Nadelöhr zu finden und auszunutzen und dann eben im Nachgang mit den einzelnen Unternehmen und mit euren Kunden darüber zu sprechen, wie sie diese Nadelöhre und Schwachstellen, egal ob das jetzt physischer Natur sind oder technischer Natur, schließen können. ja, ich glaube auch, Regulierung wird ein spannendes Thema. Künstliche Intelligenz, stehen wir meiner Meinung nach immer noch am Anfang dessen, was da grundsätzlich mit möglich sein wird und wie du schon gesagt hast, die andere Seite macht ja die gleichen Entwicklungen bzw. steht ja auch nicht still und macht sich das ja schon zu genüge zunutze. Ja, vielen, vielen Dank, Sarah, für den spannenden Einblick in das Thema Red Teaming und was es heißt, sozusagen Unternehmenssicherheit im Bereich IT auf Herz und Nieren zu prüfen. Und vor allen Dingen auch spannend, was es heißt, sich zu überlegen. Stimmt sozusagen meine Google Earth Recherche mit dem überein, was ich vor Ort dann tatsächlich bei beispielsweise Kontrollsystemen oder Anlagen in hinter Unternehmenszäunen? Stimmt das überein?

Lisa Fröhlich: Lisa Fröhlich Erwarten mich dann noch andere Überraschungen. das ist ja auf jeden Fall, wird es dir sicherlich nicht bei deinen Missionen, auch wenn sie nicht immer möglich, aber doch meistens von vornherein hochspannend sind. Da begegnet dir die einen oder anderen Herausforderungen. Ich bin sicher, da kommt noch das eine oder andere, was spannend ist. Ja, vielen Dank. Also, wenn euch die Folge gefallen hat, dann freut mich, wenn ihr ein Abo abschließt. Und wenn ihr noch was wissen wollt, dann meldet euch über unsere Social-Media-Kanäle. Und ansonsten bleibt mir an dieser Stelle nur zu sagen, danke Sarah für deine Zeit und für die spannenden Einblicke. Euch kann ich wie immer nur sagen, Keep calm and Get protected. Vielen Dank, zum nächsten Mal. Macht's gut. Ciao.

Sarah Mader: Sarah Mader Danke für die Einladung, ciao!